模拟渗透测试报告（基于一次实验）

最新推荐文章于 2024-08-04 08:30:00 发布

安全小菜鸡

最新推荐文章于 2024-08-04 08:30:00 发布

阅读量1.8k

点赞数 3

本文链接：https://blog.csdn.net/qq_45070118/article/details/99768014

版权

渗透测试报告是渗透测试人员以及安全行业的人员都应会写的总结，这次我基于一次实验和老师给的模板写了一份基础的渗透测试报告，欢迎专业人员给出建议
在这里插入图片描述

在这里插入图片描述

1. 报告摘要

根据松山菸廠渗透测试报告授权家里蹲技术(西邮)有限公司,于201x年0x月0x日至201x年0x月0x日，家里蹲技术(西邮)有限公司项目组成员XX，通过远程扫描/手工测试方式对松山菸廠网站渗透测试报告所提供的网站应用系统进行了全面深入的渗透测试。根据渗透测试结果按漏洞名称分布如下表格。可在表格中看此次渗透测试的大概情况。

在这里插入图片描述

2. 项目概述

2.1. 渗透测试前言

随着信息化程度的不断提高，对信息系统的依赖程度也不断增加，信息的价值也逐渐增大，随之而来的信息安全问题也日渐凸现，为保障信息化建设的健康发展，创建安全健康的网络环境，保护公众利益。

2.2. 渗透测试范围

xx技术(北京)有限公司公司根据前期的调研和了解，本次渗透测试工作范围如下:
在这里插入图片描述

2.3. 渗透测试目的

分析WEB应用系统的安全现状，检测WEB应用系统的漏洞和安全问题，并验证其他已知的脆弱点。对系统的任何弱点、技术缺陷或漏洞的主动分析，并且以有利于攻击为目的而对漏洞加以利用。从而全面了解和掌握WEB应用系统的信息安全威胁和风险，为WEB应用系统开展安全调优及加固建设提供依据，并指导客户实施调优及加固工作，具体的目标包括：
帮助客户理解应用系统当前的安全状况，发现在系统复杂结构中的最脆弱链路；
通过改进建议，保证WEB应用系统和相关基础设施满足标准的安全性基线；
降低WEB应用系统信息安全事件发生的可能性；
保障WEB应用系统的安全、可靠、稳定运行。

3. 渗透测试结果

3.1. 松山菸廠网站

1.XSS漏洞
漏洞地址: http://192.168.10.183/login.php

危险等级: 低

漏洞说明:通过输入xss测试代码发现存在最基础的反射性XSS漏洞，在输入框内输入代码会导致出现弹窗，跳转第三方页面等情况出现出现。
在这里插入图片描述

漏洞危害：导致出现弹窗，重定向等危机出现，导致黑客盗取用户信息
修复方案：对网页窗口代码进行修补，比如对输入的数据进行过滤，对输入点进行检测，对cookie劫持进行限制。

3.1.1. SQL注入漏洞
漏洞地址: http: //192.168.10.183/storypage_06.php?id=68
http: //192.168.10.183/storypage_06.php?id=67
http: //192.168.10.183/storypage_06.php?id=66
http: //192.168.10.183/storypage_06.php?id=65
http: //192.168.10.183/storypage_06.php?id=64
http: //192.168.10.183/back
http: //192.168.10.183/login.php

危险等级: 严重

漏洞说明: 在http: //192.168.10.183/storypage_06.php?id=65这段url中id后可以进行数字型的SQL注入，最终得到数据库的所有信息，攻击者可以任意拼接SQL语句进行攻击。
在这里插入图片描述

在这里插入图片描述

漏洞危害：通过注入可以得到数据库的所有信息。最终得到了后端管理系统的用户名密码，直接登陆了admin

修复方案：过滤危险字符，使用白名单来规范用户的输入，服务器端在提交数据前对特殊字符进行过滤转义替换删除等操作。
3.1.2. 账号密码明文传输
漏洞地址: http://192.168.10.183/back

危险等级: 高

漏洞说明: 管理员账号密码均以明文进行传输，且没有使用https等方式进行加密传输。
在这里插入图片描述
漏洞危害：攻击者可以窃取诸如用户名和密码等未经加密即发送了的用户登陆信息。
修复方案：确保所有登录请求都以加密方式发送到服务器。
请确保敏感信息，例如：
 - 用户名
 - 密码
 - 社会保险号码
 - 信用卡号码
 - 驾照号码
 - 电子邮件地址
 - 电话号码
 - 邮政编码
一律以加密方式传给服务器。